Turla APT
Turla は、Pensive Ursa、Uroburos、Snake としても知られ、ロシアを起源とする高度な持続的脅威 (APT) であり、その歴史は少なくとも 2004 年まで遡り、ロシア連邦保安局 (FSB) との関係があるとされています。標的を絞った侵入と最先端のステルス戦術で知られる Turla は、手ごわい、とらえどころのない敵としての評判を獲得しており、ひそかにステルスなサイバー攻撃を組織する際に卓越した技術的能力を発揮しています。
長年にわたり、Turla はその範囲を 45 か国以上に拡大し、政府機関、外交使節、軍事施設、教育、研究、製薬機関などの多様な分野に浸透してきました。さらに、ウクライナCERTの報告によれば、このグループは2022年2月に勃発したロシア・ウクライナ紛争に関連した活動に関与しており、ウクライナの国防利益を狙ったスパイ活動があったことが示唆されている。
Turla は主に Windows ベースのシステムにスパイ活動を集中させていましたが、macOS および Linux プラットフォームをターゲットにする機能も実証しました。 Turla は、たゆまぬ開発を通じて、Capibar、 Kazuar、 Snake 、 Kopiluwak 、QUIETCANARY/Tunnus、 Crutch 、 ComRAT 、 Carbon 、 HyperStack 、 TinyTurlaを含むがこれらに限定されない、恐るべきマルウェア ツールを蓄積しており、これらはさまざまな脅威キャンペーンで積極的に使用されています。 。
目次
Turla が Linux システムをターゲットにし始める
2014 年までに、Turla はすでに数年間サイバー環境で活動していましたが、その感染方法は謎のままでした。同年に実施された調査により、Epic Turla と呼ばれる高度な多段階攻撃が明らかになり、Turla による Epic マルウェア ファミリの利用が明らかになりました。このキャンペーンでは、脆弱性 CVE-2013-5065 および CVE-2013-3346 を悪用し、Java エクスプロイト (CVE-2012-1723) を使用した水飲み場手法と併せて、Adobe PDF エクスプロイトで武装したスピア フィッシング メールを利用しました。
このキャンペーンの注目すべき点は、Turla が Carbon/Cobra などの高度なバックドアを導入し、場合によっては両方をフェイルオーバー メカニズムとして利用したことでした。
以前の Turla の運用は主に Windows システムを対象としていましたが、2014 年 8 月に Turla が初めて Linux の領域に進出したことで状況が変わりました。 Penguin Turla として知られるこの取り組みでは、グループが複数のライブラリに対して静的にリンクされた C/C++ 実行可能ファイルを特徴とする Linux Turla モジュールを採用し、この特定の操作でファイル サイズが大幅に増加しました。
Turla が攻撃作戦に新たなマルウェアの脅威を導入
2016 年、国家の支援を受けているとされる Waterbug として知られるグループが、 Trojan.TurlaおよびTrojan.Wipbotの亜種を使用してゼロデイ脆弱性を悪用し、特に Windows カーネル NDProxy.sys のローカル権限昇格の脆弱性 (CVE-2013) をターゲットにしました。 -5065)。調査結果によると、攻撃者は、危険な添付ファイルを含む細心の注意を払って作成した電子メールと、侵害された Web サイトのネットワークを利用して、悪質なペイロードを配信しました。
翌年、研究者らは Turla マルウェアの高度な反復、つまり Carbon として識別される第 2 段階のバックドアを発見しました。 Carbon 攻撃の開始には、通常、被害者がスピアフィッシング電子メールを受信するか、口語的に水飲み場として知られる侵害された Web サイトに遭遇することが含まれます。
その後、Tavdig やSkipperなどの第 1 段階のバックドアがインストールされます。偵察活動が完了すると、Carbon フレームワークは重要なシステムへの第 2 段階のバックドアのインストールを調整します。このフレームワークは、構成ファイルのインストールを担当するドロッパー、コマンド アンド コントロール (C&C) サーバーと対話する通信コンポーネント、タスクとネットワーク内の横方向の移動を管理するオーケストレーター、およびオーケストレーターを実行するローダーで構成されます。
TurlaのKazuarバックドアが登場
2017 年 5 月、サイバーセキュリティ研究者は、新たに発見されたバックドア トロイの木馬、 Kazuar をTurla グループに関連付けました。 Microsoft .NET Frameworkを使用して開発されたKazuarは、追加のプラグインをリモートでロードできる高機能コマンドセットを備えています。
Katar は、システムとマルウェアのファイル名情報を収集し、単一実行を保証するためにミューテックスを確立し、Windows スタートアップ フォルダーに LNK ファイルを追加することによって動作します。
Katar 内のコマンド セットは、他のバックドア トロイの木馬で見つかったものと類似しています。たとえば、tasklist コマンドは Windows Management Instrumentation (WMI) クエリを利用して Windows から実行中のプロセスを取得し、info コマンドは開いているウィンドウのデータを収集します。さらに、Kazuar の cmd コマンドは、Windows システムでは cmd.exe、Unix システムでは /bin/bash を使用してコマンドを実行します。これは、Windows と Unix 環境の両方をターゲットとするクロスプラットフォーム マルウェアとして設計されていることを示しています。
2021 年初頭のさらなる調査により、 SunburstとKazuar バックドアの注目すべき類似点が明らかになりました。
2017 年にさらに多くの Turla 攻撃キャンペーンが発生
Turla は、C++ でコード化されたGazerと呼ばれる新しい第 2 段階のバックドアを導入し、水飲み場攻撃とスピア フィッシング キャンペーンを利用して被害者を正確にターゲットにしました。
強化されたステルス機能に加えて、Gazer は、Carbon や Zuar など、以前に採用されていた第 2 段階のバックドアと多くの類似点を示しました。このキャンペーンの注目すべき特徴は、コード内に「ビデオゲーム関連」の文が組み込まれていることです。 Turla は、3DES および RSA 暗号化用の独自ライブラリを使用して暗号化することで、Gazer のコマンド アンド コントロール (C&C) サーバーを保護しました。
Turla は他のサイバー犯罪グループの脅威とインフラストラクチャを組み込んでいます
2018 年の諜報報告書は、Turla が新しく開発された有害なツールであるNeuronとNautilusをSnake Rootkitと併用して Windows マシン、特にメール サーバーと Web サーバーをターゲットにしていることを示しました。 Turla は、侵害された Snake の被害者を利用して ASPX シェルをスキャンし、暗号化された HTTP Cookie 値を介してコマンドを送信しました。 Turla は ASPX シェルを活用して、追加ツールを展開するためのターゲット システムへの初期アクセスを確立しました。
2018 年に、Turla は再びヨーロッパ政府の外国事務所に狙いを定め、バックドアを通じて機密性の高い情報を侵入させることを目指しました。このキャンペーンは、東ヨーロッパで広く使用されているメール クライアントである Microsoft Outlook と The Bat! をターゲットにし、すべての送信電子メールを攻撃者にリダイレクトしました。バックドアは電子メール メッセージを利用してデータを抽出し、特別に作成された PDF ドキュメントを使用し、電子メール メッセージをコマンド アンド コントロール (C&C) サーバーへの経路として利用しました。
2019 年、Turla オペレーターは、中東の政府機関や組織を標的にすることで知られるイラン関連の APT グループ、OilRig のインフラストラクチャを悪用し、独自の攻撃作戦を実行しました。このキャンペーンには、いくつかの新しいバックドアを備えた一連の新しいツールと並行して、 Mimikatzツールの大幅に変更されたカスタム バリアントの展開が含まれていました。キャンペーンの後半段階で、Turla グループは独自のリモート プロシージャ コール (RPC) バックドアを利用し、一般にアクセス可能な PowerShell Runner ツールのコードを組み込んで、powershell.exe に依存せずに PowerShell スクリプトを実行しました。
2020 年を通じてリリースされた新しいバックドア脅威
2020 年 3 月、セキュリティ アナリストは、Turla が水飲み場型攻撃を利用して多数のアルメニアの Web サイトを標的にしているのを観察しました。これらの Web サイトには破損した JavaScript コードが挿入されていましたが、攻撃に利用された正確なアクセス方法はまだ明らかにされていません。
その後、侵害された Web ページは第 2 段階の侵害された JavaScript コードを配布し、被害者のブラウザを特定し、不正な Flash インストーラーをインストールするよう誘導しました。 Turla は、.NET ダウンローダーであるNetFlashとPyFlash を二次的なマルウェアの展開に活用しました。
数か月後、Turla はComRAT v4 (別名 Agent.BTZ) をリモート アクセス トロイの木馬 (RAT) として採用しました。このマルウェアは C++ を使用して作成されており、機密文書の流出に頻繁に利用される仮想 FAT16 ファイル システムを備えています。これは、コマンド アンド コントロール (C&C) チャネルとして HTTP と電子メールを使用しながら、 PowerStallion PowerShell バックドアなどの確立されたアクセス ルートを通じて拡散されます。
2020 年の終わり頃、サイバーセキュリティの専門家は、Turla グループによるものとされるCrutchという名前の文書化されていないバックドアおよび文書抽出ツールを発見しました。 Crutch の以前のバージョンには、公式 HTTP API を介して事前に決定された Dropbox アカウントと通信するバックドアが含まれていました。
このバックドアは、Google Chrome、Mozilla Firefox、または Microsoft OneDrive 上でファイル操作、プロセス実行、DLL ハイジャックによる永続性の確立に関連するコマンドを実行する機能を備えていました。特に、Crutch v4 は、バックドア コマンドに依存していた以前のバージョンとは異なり、Windows バージョンの Wget ユーティリティによって促進される、ローカルおよびリムーバブル ドライブ ファイルを Dropbox ストレージにアップロードする自動化機能を誇っています。
Turla APT グループが TinyTurla マルウェアを解き放ち、ウクライナの資産を標的にし始める
TinyTurla バックドアの出現は 2021 年に注目を集めました。この脅威はおそらく緊急時対応計画として機能し、初期のマルウェアが削除された場合でもシステムへの継続的なアクセスを可能にします。このバックドアのインストールはバッチ ファイルによって容易に実行され、Windows プラットフォーム上の正規の w32time.dll ファイルを模倣することを目的として、w64time.dll という名前のサービス DLL としてマニフェストされます。
ロシアのウクライナ侵攻のさなか、トゥルラAPTは紛争におけるロシアの利益に沿った目標に焦点を向け直した。 2023 年 7 月のウクライナコンピューター緊急対応チーム (CERT-UA) の発表では、Turla がウクライナの防衛資産を標的としたスパイ活動に Capibar マルウェアとKazuar バックドアを利用していたことが明らかになりました。この作戦では、カピバールは情報収集に使用され、カズアールは資格情報の盗難に特化していました。この攻撃は主に、フィッシング キャンペーンを通じて外交機関や軍事機関をターゲットにしていました。
TinyTurla-NG と Pelmeni Wrapper の登場
2023 年末にかけて、Turla 攻撃者が 3 か月にわたるキャンペーンで TinyTurla-NG という新しいバックドアを使用していることが観察されました。この攻撃作戦は、特にポーランドの非政府組織を標的としていました。前任者と同様に、 TinyTurla-NG はコンパクトな「最後の手段」バックドアとして機能します。これは、侵害されたシステム上の他のすべての不正アクセスまたはバックドア メカニズムが失敗するか発見されるまで、休止状態を保つように戦略的に展開されます。
2024 年 2 月、サイバーセキュリティ アナリストは、革新的な戦略と、Kazuar トロイの木馬の修正された亜種を紹介する新たな Turla キャンペーンを発見しました。この特定の攻撃作戦では、Kazuar の脅威は、これまで文書化されていなかったPelmeniという名前のラッパーを通じて標的の被害者に配布されました。
Turla APT は、長年にわたって詳細な攻撃活動が行われてきたにもかかわらず、依然として主要なサイバー脅威である
Turla グループは、長年にわたる活動実績を誇り、永続的な敵対者として立っています。彼らの起源、戦術、標的の選択は、熟練した工作員によって率いられた十分な資源を備えた作戦であることを示唆しています。長年にわたって、Turla はそのツールと方法論を一貫して強化しており、継続的な改良への取り組みを示しています。
Turla のようなグループによってもたらされる脅威は、組織や政府が警戒を続けることが不可欠であることを強調しています。これには、開発状況を常に把握し、情報を交換し、強力なセキュリティ対策を実装することが必要です。このような積極的な措置により、グループと個人の両方がそのような攻撃者によってもたらされる脅威に対する防御を強化することができます。
